Главная страница
Навигация по странице:

  • Тип события

  • Пакеты в секунду

  • CRC-ошибки в секудну

  • Неизвестный MAC-адрес

  • Неизвестный IP-адрес

  • Неизвестная точка доступа

  • Сети Ad Hoc

  • Сколько событий нужно для срабатывания

  • Байт в секунду

  • Показать сообщение . Звуковой сигнал

  • Параметры

  • Послать E-mail по адресу

  • Добавить текст

  • Выключить другие предупреждения

    		•

    Руководство пользователя Версия 1 Copyright 19992015 TamoSoft Содержание


    Скачать 2.74 Mb.
    НазваниеРуководство пользователя Версия 1 Copyright 19992015 TamoSoft Содержание
    Дата19.06.2022
    Размер2.74 Mb.
    Формат файлаdocx
    Имя файлаca71ru.docx
    ТипРуководство пользователя
    #604335
    страница5 из 13
    1   2   3   4   5   6   7   8   9   ...   13

    str – Содержимое пакета. Задает условие, что пакет должен содержать определенную строку. Функция имеет три аргумента: образец поиска, местоположение, чувствительность к регистру. Первый аргумент – строка, например, 'GET'. Второй аргумент – число, показывающее смещение строки в пакете. Счет начинается с нуля – первый байт пакета надо искать, задавая смещение, равное 0. Чтобы искать строку в любом месте пакета, задайте смещение равным –1. Третий аргумент устанавливает чувствительность к регистру и может принимать значения false (без учета регистра) или true (с учетом регистра). Второй и третий аргументы необязательны, по умолчанию



    35 Работа с программой | CommView for WiFi




    имеют значения –1 и false соответственно (искать во всем пакете, без учета регистра). Примеры:
    str('GET',-1, false), str('GET',-1), str ('GET').
    hex - Содержимое пакета. Задает условие, что пакет должен содержать определенный 16-ричный набор. Функция имеет два аргумента: образец поиска и местоположение. Первый аргумент – 16-ричная величина, например, 0x4500. Второй аргумент – число, задающее смещение внутри пакета. Отсчет ведется с нуля, т. е. первый байт пакета соответствует смещению, равному 0. Чтобы искать во всем пакете, задайте смещение равным –1. Второй аргумент необязателен, по умолчанию имеет значение –1 (искать во всем пакете). Пример: hex(0x04500, 14) , hex(0x4500, 0x0E), hex (0x010101).
    bit - Содержимое пакета. Задает условие, что пакет должен содержать по указанному смещению определенный бит, имеющий значение 1. В этом случае функция вернет код возврата true. Если же искомый бит имеет значение 0 или находится за пределами пакета - функция вернет код возврата false. Первый аргумент – номер бита в байте, начиная с нуля; допустимые значения 0-7. Таким образом, если вы ищете восьмой бит, установите номер равным семи. Второй аргумент – число, обозначающее смещение байта в пакете, начиная с нуля, то есть, если нужен первый байт пакета – смещение должно быть равно 0. Оба аргумента обязательны, например: bit(0, 14) , bit(5, 1).
    ToDS, FromDS, MoreFrag, Retry, Power, MoreData, WEP, Order, Ftype, FsubType, Duration, FragNum, SeqNum - позволяют вам использовать значения полей заголовков пакетов стандарта 802.11. Имена параметров полностью соответствуют именам полей заголовков пакетов, описанных в спецификации стандарта 802.11. Допустимыми значениями для полей ToDS, FromDS, MoreFrag, Retry, Power, MoreData, WEP и Order являются 0 или 1. Для полей Ftype, FsubType, Duration, FragNum


    • SeqNum допустимы также другие числовые значения. Для более подробной информации о смысле этих полей и допустимых значениях, обратитесь к спецификации стандарта 802.11.


    Вышеописанные ключевые слова можно использовать со следующими операторами:
    and - Конъюнкция, булево И.
    or - Дизъюнкция, булево ИЛИ.
    not - Булево отрицание.


    • - Арифметическое равенство.


    != - Арифметическое неравенство.
    <> - Арифметическое неравенство.


    • - Арифметическое условие "больше, чем". < - Арифметическое условие "меньше, чем".

    ( ) – Скобки, управляющие порядком вычисления правил.
    Числа могут быть в десятичной или шестнадцатеричной системе. Для указания на шестнадцатеричную нотацию, используйте 0x перед значением, например, 15 и 0x0F задают одно и тоже число.
    Примеры
    Ниже приведены несколько примеров, поясняющих синтаксис правил. К каждому правилу даны комментарии, отделяемые двойной косой чертой.


    • dir!=pass // Захватывать только входящие и исходящие пакеты. Транзитные пакеты игнорируются.




    36 Работа с программой | CommView for WiFi




      • (smac=00:00:21:0A:13:0E or smac=00:00:21:0A:13:0F) and etherproto=arp // Захватывать пакеты ARP, посылаемые двумя компьютерами с MAC 00:00:21:0A:13:0E и 00:00:21:0A:13:0F.




      • ipproto=udp and dport=137 // Захватывать пакеты UDP/IP, посылаемые в порт 137.




      • dport=25 and str('RCPT TO:', -1, true) // Захватывать пакеты TCP/IP или UDP/IP, содержащие строку "RCPT TO:" и направляемые в порт 25.




      • not (sport>110) // Захватывать все пакеты, кроме тех, что имеют порт-источник с номером выше 110.




      • (sip=192.168.0.3 and dip=192.168.0.15) or (sip=192.168.0.15 and dip=192.168.0.3) //


    Захватывать только IP-пакеты, следующие между двумя хостами, 192.168.0.3 и 192.168.0.15. Все остальные игнорируются.


      • ((sip from 192.168.0.3 to 192.168.0.7) and (dip = 192.168.1.0/28)) and (flag=PA) and (size in


    200..600) // Захватывать TCP-пакеты, размер которых лежит в диапазоне от 200 до 600 байтов, приходящие с IP-адресов в диапазоне 192.168.0.3 - 192.168.0.7, причем IP-адреса получателей находятся в сегменте 192.168.1.0/255.255.255.240, и имеющие TCP-флаг PSH ACK.


      • Hex(0x0203, 89) and (dir<>in) // Захватывать пакеты, содержащие 0x0203 в смещении 89, при этом направление пакета - не "входящий".




    • not(ftype=0 and fsubtype=8) // Игнорировать management-пакеты типа beacon




    • ftype=2 and wep=1 // Перехватывать зашифрованные пакеты данных




    • MoreFrag=0 and FragNum=0 // Перехватывать нефрагментированные пакеты



    37 Работа с программой | CommView for WiFi




    Предупреждения


    • этой закладке можно создавать систему предупреждений о существенных событиях в сети, таких как появление подозрительных пакетов, повышение сетевой нагрузки, нештатные адреса и так далее. Предупреждения могут очень помочь, если вам надо отслеживать такие события в сети, как сканирование портов, появление определенной последовательности байтов в пакетах, неожиданное подключение новых устройств.


    Важно: предупреждения могут показываться только для тех пакетов, которые прошли фильтры программы. Если, например, вы сконфигурировали программу таким образом, что она отсеивает только UDP-пакеты на основе соответствующего правила, в то время, как ваше предупреждение должно показываться при получении UDP-пакета, то такое предупреждение никогда не будет показано.
    Управление предупреждениями осуществляется с помощью показанного ниже списка:




    • каждой строке показано отдельное предупреждение, а флажок рядом с названием предупреждения показывает, активно оно или нет. При срабатывании предупреждения флажок сбрасывается. Чтобы повторно активизировать ожидание сработавшего предупреждения, установите флажок возле его имени. Для отключения всех предупреждений – сбросьте флажок Включить предупреждения. Чтобы добавить новое, отредактировать или удалить какое-либо предупреждение, воспользуйтесь кнопками справа от списка. Если вы хотите использовать оповещение по E-mail, то посредством опции Настройка E-mail введите настройки вашего SMTP-сервера (см. ниже).


    Ниже показано окно настройки предупреждений:




    38 Работа с программой | CommView for WiFi







    • поле Имя описывается назначение текущей функции предупреждения. Установите флажок Включено, если требуется активировать предупреждение, которое вы в данный момент редактируете. Этот флажок совпадает со значением соответствующей колонки в списке предупреждений. В поле Тип события можно выбрать один из семи типов событий:







      • Байты в секунду: Это предупреждение сработает при превышении указанного уровня загрузки сети. Значение следует указывать в байтах. Например, если требуется срабатывание при превышении уровня трафика в 1 Мбайт/сек, укажите порог, равный


    1000000.


      • Пакеты в секунду: Это предупреждение сработает при превышении заданного уровня частоты передачи пакетов.




      • Бродкасты в секунду: Это предупреждение сработает при превышении указанного уровня частоты передачи широковещательных пакетов.




      • Мультикасты в секунду: Это предупреждение сработает при превышении указанного уровня частоты передачи многоадресных пакетов.



    39 Работа с программой | CommView for WiFi




    • CRC-ошибки в секудну: Это предупреждение сработает при превышении указанного уровня частоты возникновения ошибок CRC.




    • Retry-пакеты в секунду: Это предупреждение сработает при превышении указанного уровня частоты возникновения Retry-пакетов.




    • Неизвестный MAC-адрес: Это предупреждение сработает при перехвате программой пакетов с неизвестными MAC-адресами отправителя либо получателя. Опция Настройка позволяет задать список известных адресов. Это предупреждение можно использовать для обнаружения подключений нового или несанкционированного оборудования в сеть.




    • Неизвестный IP-адрес: Это предупреждение сработает при перехвате программой пакетов с неизвестными IP- и IPv6-адресами отправителя либо получателя. Опция Настройка позволяет задать список известных адресов. Это предупреждение можно использовать для обнаружения несанкционированных подключений через корпоративный брандмауэр. Для работы с адресами IPv6 требуется версия Windows XP или выше, а также установленный протокол IPv6.




    • Неизвестная точка доступа: Это предупреждение сработает при получении программой beacon-пакета от неизвестной точки доступа. В Настройках можно задать MAC-адреса известных точек доступа. Это предупреждение может быть полезно для обнаружения неавторизованных точек доступа.




    • Сети Ad Hoc: Это предупреждение сработает при перехвате программой beacon-пакета от неизвестной Ad Hoc-станции. Опция Настройка позволяет задать список известных MAC-адресов Ad Hoc-станций, если они есть. Это предупреждение полезно для обнаружения несанкционированного использования Ad Hoc-сетей.


    Поле Сколько событий нужно для срабатывания позволяет установить количество событий, которое должно произойти, чтобы сработало предупреждение. Например, если установить уровень равный 3, предупреждение не сработает, пока событие не произойдет трижды. При редактировании уже существующего предупреждения происходит обнуление внутреннего счетчика событий.
    Поле Кол-во срабатываний определяет, сколько раз может срабатывать предупреждение, прежде чем станет неактивным. По умолчанию, эта величина равна 1, и предупреждение отключится после первого же срабатывания. Увеличив это число, можно настроить CommView for WiFi на многократные срабатывания предупреждений. При редактировании уже существующего предупреждения происходит обнуление внутреннего счетчика событий.


    • поле Действия можно выбрать действие, которое будет исполнено при срабатывании предупреждения. Список возможных действий имеет следующий вид:





    %SMAC% -- MAC-адрес источника. %DMAC% -- MAC-адрес получателя.



    40 Работа с программой | CommView for WiFi




    %SIP% -- IP-адрес источника.
    %DIP% -- IP-адрес получателя.
    %SPORT% -- порт-источник.
    %DPORT% -- порт-получатель.
    %ETHERPROTO% -- имя Ethernet-протокола.
    %IPPROTO% -- имя IP-протокола.
    %SIZE% -- размер пакета.
    %FILE% -- путь к временному файлу, содержащему захваченный пакет.
    Например, в сообщении "SYN-пакет получен от %SIP%", в появившемся окне текст %SIP% будет замещен на IP- адрес источника пакета, вызвавшего срабатывание. Если использовать переменную %FILE%, в папке временных файлов будет создан файл .NCF, удаление данного файла – ответственность вашего обработчика данных. Не используйте переменные в предупреждениях, срабатывающих по значению Байт в секунду или Пакетов в секунду, так как они не вызываются каким-либо конкретным пакетом.


    • Произнести сообщение: дать Windows команду произнести сообщение вслух с помощью встроенного механизма речевого воспроизведения текста. Если в вашей версии Windows нет этого механизма, то данная опция будет недоступна. По умолчанию в состав Windows включен лишь англоязычный речевой модуль, так что Windows может оказаться не в состоянии корректно воспроизвести сообщения, введенные не на английском языке. В тексте сообщения вы можете использовать переменные, описанные выше для опции Показать сообщение.




    • Звуковой сигнал: Проигрывает указанный WAV-файл.




    • Запустить программу: Запускает указанный EXE- или COM-файл. В поле Параметры можно задать параметры командной строки, если они требуются для запуска приложения. Можно использовать переменные, описанные в пункте Показать сообщение, чтобы передать программе информацию о пакете, вызвавшем срабатывание предупреждения.




    • Послать E-mail по адресу: Отправляет E-mail по указанному адресу. ОБЯЗАТЕЛЬНО укажите SMTP-сервер, которым должен пользоваться CommView for WiFi при отправке. Для этого нажмите кнопку Настройка E-mail, задайте установки SMTP-сервера и отправьте пробное письмо. Зачастую, оповещения по электронной почте можно использовать для отправки сообщений на пейджер, в виде SMS на мобильный телефон или пейджер. Например, чтобы послать сообщение абоненту ICQ, укажите адрес E-mail в виде


    ICQ_USER_UIN@pager.icq.com, где ICQ_USER_UIN ваш номер в системе ICQ, а в свойствах ICQ
    установите "Разрешить EmailExpress messages". Подробнее о настройках службы SMS вы можете узнать у своего сотового оператора. В поле Добавить текст можно ввести произвольное сообщения для E-Mail. Вы можете использовать переменные, описанные в секции Показать сообщение.


    • Включить правила захвата: Включает Универсальные правила; укажите названия правил, если требуется несколько правил, перечислите их названия через запятую (или точку с запятой).



    41 Работа с программой | CommView for WiFi

    написать администратору сайта